Travailler avec des activités de traitement de données

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 10 minutes de lecture

    • Les responsables du traitement des données peuvent utiliser les options du module Activité de traitement des données pour créer des cibles, les identifier en tant qu’activités de traitement des données et effectuer des GDPR DPIA évaluations des cibles afin de déterminer si les cibles présentent un risque élevé.

    Remarque :
    À partir de la version Rome, GRC : GDPR DPIA Accelerator est en cours de préparation pour une future dépréciation. Elle sera masquée et ne sera plus activée sur les nouvelles instances, mais continuera d’être prise en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Créer une cible

    Dans le RGPD, une cible fait référence à l’association entre une entité et une activité de traitement de données.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : GDPR DPIA Accelerator est en cours de préparation pour une future dépréciation. Elle sera masquée et ne sera plus activée sur les nouvelles instances, mais continuera d’être prise en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Pourquoi et quand exécuter cette tâche

    Une évaluation cible s’exécute sur une cible pour identifier s’il s’agit d’une activité de traitement de données. Si l’évaluation revient et que la cible est identifiée comme à haut risque, créez un risque DPIA pour exécuter une évaluation DPIA afin de déterminer comment le risque peut être atténué. Les cibles peuvent être créées manuellement ou vous pouvez les générer automatiquement en cochant la case Générer la cible sur le formulaire Entité ou le formulaire Type d’entité.

    Procédure

    1. Accédez à la Tout > RGDP DPIA > Activité de traitement des données > Créer une cible.
      Nouvelle cible
    2. Renseignez les champs nécessaires.
      Champ Description
      Nom Entrez le nom de la cible.
      Appartenant à Sélectionnez le propriétaire de cette cible.
      Description Entrez une description qui décrit la cible.
      Actif Cochez cette case pour activer la cible.
      Entité Sélectionnez l’entité associée à cette cible. Une entité ne peut avoir qu’une seule cible associée.
      Cadre de travail Ce champ est défini par défaut sur GDPR DPIA.
    3. Effectuez l'une des actions suivantes :
      • Pour enregistrer les données, cliquez sur Mettre à jour.
      • Pour identifier l’enregistrement cible en tant qu’activité de traitement de données, cliquez ici.
      • Pour modifier la liste des personnes chargées de répondre à l’évaluation, cliquez sur l’onglet Évaluations préliminaires.
      • Pour effectuer une évaluation préliminaire de la cible, cliquez sur Envoyer les évaluations.
      • Pour effectuer une évaluation DPIA sur la cible, cliquez sur Générer DPIA.

    Identifier une cible comme activité de traitement de données

    L’identification d’une cible en tant qu’activité de traitement de données est la première étape pour déterminer si une évaluation du traitement des données doit être effectuée sur la cible.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : GDPR DPIA Accelerator est en cours de préparation pour une future dépréciation. Elle sera masquée et ne sera plus activée sur les nouvelles instances, mais continuera d’être prise en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tout > RGDP DPIA > Activité de traitement des données > Toutes les cibles.
      Activité de traitement des données : toutes les cibles
    2. Sélectionnez l’enregistrement cible que vous souhaitez identifier comme une activité de traitement de données.
    3. Cliquez sur Mettre à jour.
      Deux listes connexes apparaissent : GDPR DPIA et GDPR Preliminary Assessment.
      Liste connexe DPIA RGPD
    4. Dans l’onglet RGDP DPIA , cochez la case Activité de traitement des données .
    5. Renseignez les champs nécessaires.
      Champ Description
      État d'approbation Affiche l’état actuel du processus d’approbation.
      Objectif But de la cible. Incluez des informations telles que l’endroit où l’activité s’applique.
      Nécessité et proportionnalité Une évaluation de la nécessité et de la proportionnalité de la cible par rapport à son objectif.
      Mesures connues Mesures visant à faire face au risque, y compris les garanties, les mesures de sécurité et les mécanismes visant à assurer la protection des données personnelles.
      Critères d'évaluation Cliquez sur l’icône de verrou et sélectionnez les critères à prendre en compte pour évaluer si la cible est susceptible d’entraîner un risque élevé. Les critères sont les suivants :
      • Évaluation ou notation
      • Prise de décision automatisée ayant un effet juridique ou similaire significatif
      • Surveillance systématique
      • Données sensibles ou de nature très personnelle
      • Données traitées à grande échelle
      • Ensemble de données de mise en correspondance ou de combinaison
      • Données concernant des personnes concernées vulnérables
      • Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles
      • Empêcher les personnes concernées d'exercer un droit ou d'utiliser un service ou un contrat
      Utilise l’AIPD existante ? Cochez cette case si la cible utilise une DPIA préexistante, puis cliquez sur l’icône de verrou et sélectionnez les DPIA associées à cette cible dans la liste.
      Est conseillé par le responsable du traitement des données ? Cochez cette case si la cible nécessite l’approbation d’un responsable de traitement des données, puis cliquez sur l’icône de verrou et sélectionnez le responsable de traitement des données approprié dans la liste.
      Utilise le code de conduite approuvé ? Cochez cette case si la cible doit être conforme à un code de conduite lors de l’accès à son impact, puis entrez le nom du code de conduite dans la zone de texte.
      Recherche l’avis de la personne concernée ? Cochez cette case si la cible nécessite que les points de vue des personnes concernées ou de leurs représentants soient examinés, puis entrez les points de vue des personnes concernées dans la zone de texte.
      Existant avant le RGPD ? Cochez cette case si la cible existait avant la création du RGPD.
      Remarque :
      L’obligation de mettre en œuvre l’AIPD s’applique à toutes les activités de traitement de données existantes susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques pour lesquelles il y a eu un changement des risques.
      Est à haut risque ? Cochez cette case : il s’agit d’une cible à haut risque.
      Remarque :
      Même s’il n’y a aucune indication d’un risque élevé probable, envisagez d’effectuer une évaluation DPIA pour toute activité majeure de traitement de données impliquant l’utilisation de données personnelles.
      Remarque :
      Deux options s’offrent à vous pour remplir les champs de l’onglet DPIA RGPD . Vous pouvez les remplir manuellement vous-même comme décrit ci-dessus, ou si vous ne connaissez pas les réponses aux questions, vous pouvez générer une évaluation pour quelqu’un d’autre qui les connaît, puis copier ses réponses à partir de l’évaluation vers le formulaire cible comme décrit ci-dessous.
    6. Pour générer une évaluation pour un autre utilisateur, effectuez ces étapes.
      1. Cliquez sur l’onglet Évaluation préliminaire du RGPD .
      2. Dans le champ Personnes chargées de répondre à l’évaluation , cliquez sur l’icône de verrou et sélectionnez l’utilisateur que vous souhaitez remplir le formulaire.
      3. Lorsque vous avez sélectionné l’intervenant, cliquez à nouveau sur l’icône de verrouillage.
      4. Cliquez sur Envoyer les évaluations.

        Une fois que l’utilisateur sélectionné a passé l’évaluation, un bouton Copier les réponses de l’évaluation s’affiche.

        Bouton Copier la réponse de l’évaluation
      5. Cliquez sur Copier les réponses de l’évaluation.

        L’enregistrement de l’évaluation terminée s’affiche.

        Copier l’évaluation sur la cible
      6. Vous pouvez cliquer sur Afficher la réponse pour afficher les réponses à l’évaluation.
      7. Sélectionnez l’enregistrement et cliquez sur Copier.
        Les réponses fournies par le répondant sélectionné sont copiées dans la DPIA RGPD.
    7. Une fois les champs remplis, effectuez l’une des opérations suivantes :
      • Pour enregistrer les données, cliquez sur Mettre à jour.
      • Pour modifier la liste des personnes chargées de répondre à l’évaluation, cliquez sur l’onglet Évaluations préliminaires .
      • Pour effectuer une évaluation préliminaire de la cible, cliquez sur Envoyer les évaluations.
      • Pour générer un risque DPIA et lancer une évaluation DPIA sur la cible, cliquez sur Générer DPIA.
      • Si vous avez coché la case Est conseillé par le responsable du traitement des données ? et sélectionné un approbateur, un bouton Demander l’approbation du DPO s’affiche. Cliquez sur ce bouton pour demander l’approbation de l’approbateur sélectionné. Tous les champs de l’onglet DPIA RGPD deviennent en lecture seule. Si d’autres modifications sont nécessaires, vous pouvez cliquer sur Réinitialiser l’approbation.

    Envoyer une évaluation préliminaire pour une cible

    Vous pouvez lancer une évaluation préliminaire d’une cible pour déterminer si elle est considérée comme une opération à haut risque et décider des procédures d’atténuation nécessaires. Une fois l’évaluation préliminaire lancée, les personnes chargées de répondre sélectionnées peuvent effectuer l’évaluation.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : GDPR DPIA Accelerator est en cours de préparation pour une future dépréciation. Elle sera masquée et ne sera plus activée sur les nouvelles instances, mais continuera d’être prise en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tout > RGDP DPIA > Activité de traitement des données > Toutes les cibles.
      Toutes les cibles
    2. Ouvrez l’enregistrement cible pour lequel vous souhaitez effectuer une évaluation préliminaire.
      Cadre de travail
    3. Assurez-vous que le champ Cadre affiche GDPR DPIA.
    4. Cliquez sur l’onglet Évaluation préliminaire du RGPD .
      Évaluation préliminaire du RGPD
    5. Assurez-vous que le champ Évaluations affiche l’évaluation des cibles DPIA du RGPD.
    6. Dans le champ Personnes chargées de répondre à l’évaluation , cliquez sur l’icône de verrou et sélectionnez les utilisateurs auxquels vous souhaitez passer l’évaluation préliminaire pour la cible.
    7. Lorsque vous avez sélectionné les intervenants, cliquez à nouveau sur l’icône de verrouillage.
    8. Cliquez sur Envoyer les évaluations.
      Les évaluations sont envoyées aux personnes chargées de répondre sélectionnées et un message indique le nombre d’évaluations créées. En outre, l’onglet Évaluations affiche les enregistrements d’évaluation.
      Onglet Évaluations
    9. Pour demander l’approbation du responsable du traitement des données, cliquez sur le lien connexe Demander l’approbation du DPD .
    10. Une fois que les personnes interrogées ont répondu, vous pouvez afficher leurs réponses en cliquant sur Afficher les réponses dans l’onglet Évaluations .

    Effectuer une évaluation préliminaire

    Lorsque vous avez été identifié comme répondant à une évaluation préliminaire, vous devez accéder à l’évaluation et la passer.

    Avant de commencer

    Rôle requis : aucun
    Remarque :
    À partir de la version Rome, GRC : GDPR DPIA Accelerator est en cours de préparation pour une future dépréciation. Elle sera masquée et ne sera plus activée sur les nouvelles instances, mais continuera d’être prise en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tout > RGDP DPIA > Activité de traitement des données > Mes évaluations préliminaires.
      Toutes les évaluations pour lesquelles vous êtes une personne chargée de répondre sont affichées.
      Mes évaluations
    2. Ouvrez l’évaluation que vous souhaitez passer.
      Passer une évaluation

      Les champs sont décrits ici.

      Champ Description
      Numéro Numéro d’enregistrement généré automatiquement.
      Type de mesure Type de mesure de cette évaluation.
      Date d'échéance Date à laquelle l’évaluation doit être terminée. Le système renseigne la date d’échéance à partir de la valeur du champ de type de mesure Durée de l’évaluation . Le système génère des notifications par e-mail liées à la date d’échéance.
      Remarque :
      Par défaut, le système exécute le script tous les 30 jours pour annuler les Cancel Expired Assessments instances d’enquête, d’évaluation et de questionnaire expirées qui sont dans les états Travail en cours ou Prêt à prendre .
      Date d'expiration Date à laquelle l’utilisateur affecté peut répéter l’évaluation.
      État État de l'évaluation.
      Affecté à Utilisateur auquel cette évaluation est affectée. Ce champ passe en lecture seule lorsque l’état est En cours, Terminé ou Annulé.
      Résultat de la signature Vérification fournie par le destinataire lorsqu’une signature est requise. Cette valeur est le nom complet du destinataire de la table Utilisateur [sys_user], ou cochée, ce qui indique que le destinataire a accusé réception de la lecture de l’assertion en cochant une case.
    3. Cliquez sur Effectuer l’évaluation.
      Questions d’évaluation
    4. Répondez aux questions du mieux que vous pouvez, puis cliquez sur Soumettre.

    Afficher toutes les évaluations préliminaires

    Les responsables des risques et les responsables du traitement des données peuvent consulter les réponses des candidats à l’évaluation individuelle.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : GDPR DPIA Accelerator est en cours de préparation pour une future dépréciation. Elle sera masquée et ne sera plus activée sur les nouvelles instances, mais continuera d’être prise en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tout > RGDP DPIA > Activité de traitement des données > Toutes les évaluations préliminaires.
      Toutes les évaluations préliminaires
    2. Cliquez sur le numéro d’évaluation de l’évaluation que vous souhaitez examiner.
      Afficher le lien de réponse de l’utilisateur
    3. Cliquez sur le lien connexe Afficher la réponse de l’utilisateur .